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一 个 可 追踪 密 钥 的 策略 隐藏 属性 基 加 密 方案 
欧 航 用 ， 刘 春 龙 


(广东 工业 大 学 计算 机 学 院 ， 广州 510006) 


摘 要 : 传统 的 属性 基 加 密 方 案 中 存在 着 访问 策略 所 包含 的 属性 会 泄露 用 户 的 敏感 信息 以 及 恶意 用 户 泄露 私 钥 获 取 非 
法 利益 而 不 会 被 追 责 的 问题 。 同 时 私 钥 长 度 、 密 文 长 度 和 解密 运算 量 均 会 随 属性 数量 增加 而 带 来 较 大 的 通信 开销 和 计 
算 开 销 。 针 对 以 上 问题 提出 了 一 种 可 追踪 且 隐 藏 访问 结构 的 属性 基 加 密 方 案 。 该 方案 在 不 影响 加 /解密 效率 的 前 提 下 提 
高 了 加 密 算 法 的 安全 性 ， 并 采用 双 因 子 身 份 认证 机 制 实 现 了 更 安全 高 效 的 访问 控制 。 并 且 引 入 一 个 安全 的 签名 机 制 用 
于 支持 可 追踪 密 钥 来 追踪 恶意 用 户 。 该 方案 基于 DBDH 假设 ， 在 标准 模型 下 被 证 明 是 安全 的 。 
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Policy-hidden attribute-based encryption scheme with traceabe keys 


Ou Yuyi, Liu Chunlong, 
(School of Computers Guangdong University of Technology, Guangzhou 510006, China) 


Abstract: In the traditional attribute-based encryption scheme, there are problems that the attributes contained in the access 
policy may leak sensitive information of the user and the malicious user leaks the private key to gain illegal profits without 
being blamed. At the same time, with the increase of the number of attributes the length of the private key, ciphertext, and the 
decryption operation will increase and it bring greater communication overhead and computational overhead. To solve these 
problems, an attribute-based encryption scheme that can track keys and hide the access structure is proposed. The scheme 
improves the security of the encryption algorithm without affecting the efficiency of encryption and decryption. The scheme 
adopts a two-factor authentication mechanism to achieve more secure and efficient access control, and it use a secure signature 
mechanism for supporting traceable keys to track malicious users. Finally, the theoretical analysis show that our scheme 
proved to be safe under the standard model based on the DBDH hypothesis. 
Key words: attribute-based encryption; traceability; hidden policies; two-factor authentication 
密 的 明文 往往 会 被 一 起 发 送 给 解密 者 ， 而 访问 结构 有 可 能 包含 
着 与 明文 相关 的 信息 ， 一 旦 密 文 被 截获 ， 加 密 者 的 隐私 将 有 被 
云 存储 以 分 布 式 计算 技术 为 基础 ， 在 开放 的 网 络 环境 下 为 ”泄露 的 风险 。 为 了 解决 该 问题 ， 出 现 了 许多 隐藏 访问 结构 的 密 
用 户 提供 了 强大 的 共享 和 存储 能 力 ， 然 而 传统 的 加 密 技 术 已 经 文 策略 属性 基 加 密 方案 。2007 年 ，Kapadia 等 人 中 通过 引入 一 
不 能 满足 用 户 对 于 细 粒 度 的 访问 控制 要 求 巾 。 因 此 ， 为 了 实现 ”个 可 信 第 三 方 ,首次 提出 可 匿名 的 密 文 一 策略 属性 基 加 密 方案 ， 
加 密 数 据 的 细 粒 度 访问 控制 ，Sahai 等 人 I 于 2005 年 首先 提出 。 但 该 方案 不 能 抵抗 合谋 攻击 。 之 后 ， 文 献 [4，5] 分 别 以 不 同 
的 一 种 新 的 公 钥 加 密 机 制 一 一 属性 基 加 密 (ABE), 实现 了 公 钥 ” ”的 形式 实现 了 策略 半 隐 藏 ， 但 文献 [5] 没有 实现 密 钥 追踪 。 文 
密码 体制 一 对 多 的 加 密 。 为 了 表示 更 灵活 的 访问 控制 策略 ， 相 献 [3，6 一 8] 均 实现 了 策略 完全 隐藏 ,但 是 均 没 有 实现 密 钥 追 


0 引言 


二 


关 学 者 在 之 后 又 提出 了 密 钥 策略 属性 基 加 密 记 和 密 文 策略 属性 ” 踪 ， 即 无 法 对 恶意 泄露 信息 的 用 户 进 行 追 踪 。 随 后 ， 文 献 [9] 
基 加 密 吕 两 类 ABE 加 密 机 制 。 在 对 于 密 文 策略 的 属性 加 密 方 。 提出 一 个 高 表达 力 并 可 对 恶意 用 户 进 行 白 盒 追 踪 的 CP-ABE 方 
案 ， 加 密 者 使 用 访问 结构 加 密 消 息 ， 解 密 者 根据 自身 所 拥有 的 。 案 ， 可 以 对 恶意 用 户 进行 追踪 ,但 性 能 开销 较 大 。 文 献 [10] 
属性 预先 从 一 个 可 信 的 授权 方 获 取 解 密 密 钥 ， 如 果 解 密 者 本 和 喘 ” 提出 支持 大 规模 属性 空间 的 可 追踪 方案 。 但 文献 [9,10] 均 不 


的 属性 不 满足 嵌入 在 密 文 中 的 访问 结构 ， 解 密 者 将 不 能 解密 该 。” 对 访问 策略 进行 隐藏 。 文献 [5] 提出 了 一 个 可 追踪 并 隐藏 部 分 
密 文 。 盟 性 的 密 钥 策略 基于 属性 加 密 方案 ， 该 方案 将 属性 集 分 为 公共 
然而 在 传统 的 密 文 策略 属性 基 加 密 方案 中 ， 访 问 策略 和 加 E 常 属性 集 、 隐 藏 正常 属性 集 、 隐 藏身 份 相关 属性 集 三 个 子 集 ， 
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但 方案 只 能 隐藏 部 分 属性 ， 且 密 文 和 用 


户 公 负 长度 校长 。 在 实 


际 应 用 中 ， 过 长 的 密 文 会 带 来 较 大 的 通信 开销 。 文 献 [11] 同 时 


实现 了 可 追踪 和 策略 完全 隐藏 ， 但 是 该 方案 的 公 钥 长 度 有 所 增 


加 。 


在 云 存储 环境 下 ， 


基于 属性 加 密 (ABE) 的 加 密 方案 可 以 


实现 灵活 的 用 户 访问 控制 ， 其 中 身份 认证 是 访问 控制 的 第 一 道 
防线 ， 是 云 存储 环境 安全 的 基础 。 双 因子 身份 认证 是 一 种 强化 
的 网 络 访问 控制 机 制 ， 它 为 登录 过 程 增加 了 额外 的 安全 层 。 因 
此 采用 文献 [8] 中 的 双 因 子 身份 验证 机 制 , 实 现 更 安全 高 效 的 访 
问 控制 。 并 且 由 于 基于 属性 加 密 的 特点 ， 用 户 私 钥 只 与 一 组 措 


述 用 


户 的 属性 相关 ， 在 实际 应 用 中 ， 合 法 用 户 可 能 会 为 了 获 了 


经 


利益 ， 恶 意 地 将 私 钥 ; 


增加 身份 认证 的 过 程 以 及 设计 能 对 泄露 信息 的 用 户 进行 追踪 的 
的 系统 模型 上 ， 


加 密 方案 具有 
本 文 在 文献 [7] 


世 露 给 非法 用 户 而 无 法 被 追究 责任 。 因 此 


结合 文献 [11] 的 签名 机 制 和 


文献 [8] 中 的 双 因 子 身 


份 验证 机 制 提 出 


种 具有 可 追踪 性 并 隐 


藏 访问 结构 的 属性 基 加 密 方案 。 首 先 利用 双 基 
初步 判断 用 户 的 合法 性 ， 


子 身份 验证 机 第 
后 利用 访问 树 将 访问 结构 嵌入 密 文 


一 


从 


中 ， 多 值 与 门 转换 为 访问 树 来 表达 访问 结构 ， 访 问 结构 中 的 每 
个 属性 可 以 取 多 个 值 ， 增 加 了 系统 的 灵活 性 ， 通 过 降低 双 线 性 
对 的 运算 数量 提高 了 加 密 和 解密 的 效率 。 方 案 基 于 判断 性 
DBDH 假设 ， 在 标准 模型 下 被 证 明 是 安全 的 。 

1 ”相关 工作 

1.1 双 线 性 映射 


设 群 G、G, 和 Gi 


均 是 阶 为 素数 p 的 乘法 循环 群 ，g、h 分 


别 是 是 群 G、G, 生成 元 ,一 个 映射 < CGxG@ 一 G 是 非 对称 双 


线性 映射 ， 若 映射 。 满足 下 列 特征 : 


a) 双 线 性 。 对 于 Ya、be 2Z,， 都 有 等 式 e(g”,h)=e(g, 有 )” 


el 
对 
DD 


b) 非 退 化 性 。 

c) 可 计算 性 。 
间 算 法 内 计算 es， 
1.2 访问 结构 
在 本 文中 ， 用 


可 能 的 属性 取 值 集合 ， 


值 集合 ， 其 ni 为 属性 


L=[L,b, ..., L], 其 中 =att,te(,2,...,ni) 。 


W =[W,W, ..., W,], 


户 的 身份 
构 使 用 多 值 与 门 来 表达 。 令 U ={att,att,,…,atty} 


性 的 取 值 个 数 5 二 {att 1,att; ».…，att; i) 是 一 个 属 | 


g, Dz 1 
于 任意 的 8g、h ， 能 够 在 有 效 的 多 项 式 时 


特定 的 属性 集合 来 表示 ， 访 问 结 
民 表 一 个 所 有 
系统 中 属性 个 数 为 n，ni 表示 第 i 个 属 
生 可 能 的 取 
5; 可 能 取 值 的 个 数 。 用 户 的 属性 列表 为 
访问 结构 为 
其 中 W; Cc 5; 。 对 于 Vi=1,2...,，n ， 若 


厂 eWi; ， 则 称 用 户 属 | 


生 列 表 工 满足 访问 结构 W 。 


本 文 方案 中 用 
活性 。 在 加 密 消 息 之 月 


问 树 +， 访问 树 的 中 间 节 点 表示 八 v 运算 符 ， 叶 子 节 点 表示 


性 。 密 文中 不 能 显示 


入 到 密 文中 ， 因 此 ， 解 密 者 仅仅 知道 他 自 


多 值 与 门 来 表达 访问 结构 ， 以 增加 系统 的 灵 
有 和， 加密 者 首先 将 访问 结构 转换 成 一 棵 访 


al 


也 包含 访问 树 ， 访 问 时 由 加 密 者 隐 式 地 | 


己 是 否 有 能 力 解密 该 


惠 


密 文 , 而 不 能 获得 任何 


图 1 给 出 


构 


W = | {a att a) {arta} ,{attssatts aattss),{atts a) | 转换 而 成 的 


访问 树 Y 。 有 很 多 属性 集合 可 以 满足 图 1 中 的 访问 树 ， 如 属性 
集 S={attiy atty,attsa3,athys} BD 及 KS={atts, att,,,attsi,att, 3} 
等 ， 但 是 如 属性 集 $={attzatizsathis} 以 及 
5S ={athi，att,s,ath3} 等 是 不 满足 图 1 中 的 访问 树 的 。 
图 1 访问 树 
1.3 安全 模型 
对 于 用 户口 令 认 证 协议 攻击 者 模型 一 直 沿 用 经 典 的 


Dolev-Yao 模型 LU 中 ， 即 攻 玫 


Ff 者 可 任意 侦 听 、 截 获 、 插 入 、 


| 除 


或 阻 断 流 经 公开 


力 如 表 1 所 示 。 


言 道中 的 消息 。 
的 发 展 〈 如 功 耗 攻击 、 电 磁场 攻击 和 
分 析出 智能 卡 内 安全 参数 ， 莉 


近年 来 , 随 着 边 信道 攻击 技术 
时 间 攻 击 )， 攻 击 者 A 可 


fF 能 力 得 到 增强 。 


本 文 攻击 者 能 


表 1 攻击 者 拥有 的 能 力 
能 力 含义 
(C700 人 可 以 离线 穷 举 |D,| x|D| 中 所 有 元 素 。 
C-01 ”A〔 非 评估 隐私 安全 〉 可 以 获取 用 户 身 份 标识 ID。 
C-1 A 任意 侦 听 、 截 获 、 插 入 、 删 除 或 阻 断 流 经 公开 信 
道中 的 消息 ， 对 于 双 因 子 协议 ，A 可 以 (1) 获取 
户口 令 ; (2) 提取 智能 卡 内 秘密 信息 ， 但 二 者 不 可 
兼 得 , 否则 为 平凡 攻击 。 
C-2 A 可 以 获取 过 期 的 会 话 密 钥 。 
C-3 A 可 以 获知 服务 器 长 期 私 钥 ， 此 能 力 仅 用 于 评估 系 
统 终极 失效 时 的 强健 性 。 
本 文 方案 可 在 选择 属性 模式 下 达到 选择 明文 攻击 的 密 文 不 
可 区 分 性 ， 其 所 基于 的 安全 模型 "291 通过 以 下 攻击 者 A 与 挑战 
者 B 之 间 的 交互 游戏 进行 描述 。 


初始 化 阶段 : A 提供 给 B 两 


个 提 


kt 战 访问 结构 Wo 和 多 。 挑 


战 者 B 选 定 安全 参数 和 


钥 MSK。B 将 PK 发 送 给 A， 

第 一 阶段 : 攻击 者 A 提供 一 个 属 
问 结构 Wi1 是 挑战 访问 结构 的 要 求 。 满 足 
要 求 时 挑战 者 B 才 运 行 私 钥 产生 算法 ， 


满足 访问 结构 Wo 和 访 


并 保 


运行 初始 化 算法 得 到 公 钥 PK 和 主 密 
主 密 钥 MSK。 
性 列 


表 工 ， 属 性 列表 工 不 


将 私 钥 SK 发 送 给 攻 


击 者 A。 攻 击 者 可 以 进行 多 项 式 次 数 的 询问 。 


挑战 阶段 : 


挑战 者 B。 挑 战 者 B 随机 选取 一 个 Mo”， 


战 者 运行 加 密 算 法 并 将 密 》 


返 世 


给 攻击 者 。 


攻击 者 A 提交 2 个 长 度 相 等 的 消息 M, 和 Mi 给 


] Wo 进行 加 密 。 挑 


第 二 阶段 : 重复 第 一 阶段 和 挑战 阶段 的 过 程 ， 继 续 私 钥 询 


问 。 


猜测 阶段 : 


如 果 T 二 e(g,g)”， 则 表明 攻击 者 A 


准确 
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输出 对 b 的 猜测 bp ， 和 否则，T=e(g,g8) ， 攻 击 者 A 只 能 做 


个 随机 的 猜测 。 如 果 b =b ，B 输出 /一 1 ;， 否则， 输出 f=0。 
攻击 者 获得 攻击 游戏 胜利 的 优势 定义 为 


Adv leet] 


定义 1 在 多 项 式 时 间 内 ， 若 不 存在 以 不 可 忽略 的 优势 赢 
得 上 述 游戏 的 多 项 式 时间 攻 击 者 ， 则 称 该 隐藏 访问 结构 的 密 文 
策略 基于 属性 加 密 方案 是 选中 明文 安全 的 。 

1.4 方案 定义 

方案 由 用 户 注 册 (Registration )、 身 份 验证 ( Verification )、 
初始 化 算法 ( Setup) 、 密 钥 生 成 算法 ( Keygen) 、 加 密 算法 
( Encrypt) 、 解 密 算法 ( Decrypt) 和 追踪 算法 ( Trace) 等 算法 组 
成 。 方 案 中 采用 双 因子 身份 验证 机 制 ， 每 个 用 户 有 其 唯一 ID 
和 登录 密码 PW。 解 密 时 先进 行 用 户 登录 ， 根 据 验证 体制 对 用 
户 身 份 进 行 第 一 道 的 判断 ， 提 高 了 攻击 者 破解 合法 用 户 身份 信 
息 伪 装 成 合法 授权 用 户 的 难度 。 通 过 身份 验证 后 ， 用 户 分 别 将 
自己 具有 的 属性 私 钥 分 量 分 别 代 入 进行 解密 计算 ， 验 证 用 户 私 
钥 是 否 满足 访问 结构 。 若 满足 访问 结构 ， 则 解密 密 文 。 下 面 分 
别 对 各 种 算法 进行 描述 : 

Registration ”注册 用 户 ， 用 户 输入 身份 ID 和 密码 PW， 授 
权 机 构 选 取 系 统 参 数 c、b 以 及 当前 注册 时 间 t 进行 计算 得 到 
{M,N,y} 返回 给 用 户 。 
身份 验证 ， 
根据 验证 算法 ， 对 用 户 身份 进行 第 一 道 的 判断 ， 验 证 
信息 是 否 合法 。 

Setup 初始 化 算法 ， 由 授权 机 构 完成 。 系 统 建立 输入 安全 
参数 入 ， 输 出 主 密 钥 MSK 和 公共 参数 PK。 并 产生 一 个 包含 二 
元 组 k，ID) 的 查询 列表 T， 初 始 化 时 查询 列表 T 为 空 集 。 

Keygen 密 钥 生成 算法 ， 输 入 主 密 钥 MSK、 属 性 列表 工 、 
公 钥 PK 和 用 户 身份 ID， 输出 关于 属性 列表 工 的 私 钥 SK。 并 
将 二 元 组 k，ID) 存 入 查询 列表 T 中 。 

Encrypt 数据 加 密 算法 ， 
密 的 明文 消息 M， 访 问 策略 W 和 公共 参数 PK， 并 输出 4 
CT = 

Decrypt 加 密 算 法 ， 信 息 接收 者 输入 公 钥 PK 、 隐 式 地 租 
入 访问 结构 W 的 密 文 CT 和 包含 属性 列表 工 的 用 户 私 钥 SK 。 
当 解 密 密 钥 中 的 属性 满足 密 文 中 的 访问 结构 时 , 可 以 正确 解密 ， 
得 到 信息 M， 否 则 输出 1。 

Trace 追踪 算法 , 输入 用 户 的 公 钥 PK 、 私 钥 SK 和 查询 列 
表 T.。 先 验证 私 钥 SK 是 否 标 准 定义 的 , 若 验 证 成 功 , 输出 与 SK 
对 应 的 用 户 身份 ID， 否 则 输出 符号 上 L。 定 义 符号 上 表示 该 用 户 
私 钥 不 用 追踪 。 


户 登 录 和 输入 身份 ID 和 密码 PW， 
] 户 身份 


Verification 


J 


2 ”方案 构造 


本 文 在 文献 [7] 的 系统 模型 上 ， 采 用 双 因 子 身份 认证 体制 ， 


提出 了 一 种 可 追踪 且 隐 藏 访问 结构 的 CP-ABE 加 密 方案 。 
2.1 用 户 注册 

Registration (ID, PW) 

双 因 子 身份 验证 的 实施 需要 两 个 阶段 来 完成 ， 即 注册 阶段 
和 验证 阶段 。 为 了 方便 描述 给 出 如 下 定义 : $ 为 远程 服务 器 , U 


为 用 户 ， 哈 希 函数 已 ={0J ={0J ，i=12,3。 权 威 机 构 S 的 


私 钥 为 x， 计 算 y= g*mod p ， 用 户 输入 身份 ID 和 密码 PW， 窗 
户 端 SC 选取 随机 数 c。 计 算 Ho(clPW) ,将 {1D,Ho(cl|PW)} 发 
送 给 权威 机 构 S$，S 选取 随机 数 b， 根 据 用 户 注册 时 间 t 进行 计 
算 : M =H,(H,(ID)® H,(cl|PW)), 

N= Ho(cl|PW)@Ho(xI|ID1In), 并 将 {1D,4,c) 存储 在 
库 中 ，{M,N,y} 保存 在 智能 卡 SC 中 。 
2.2 身份 验证 

Verification (ID, PW) 

户 登 录 输 入 身份 ID 和 密码 PW, 智能 卡 SC 执行 下 列 操 


户 数据 


计算 M"=(H(1D')@H(clPW)), 若 M*"=M ,SC 选 


取 随 机 数 d, 计算 : 
¥ = gmodp, 

K=H,(x||IDIID=N ®H,(cPW) 
CMK=(b||K)®@HY NY) ， 


b=ymodp 
CID=1D ® HY lIY) 
M, ={Ho(% || KI CD CMK)} 
用 户 将 他 ,CID,CMK,M,} 发 送 给 权威 机 构 S。 

根据 用 户 登录 请 求 信 息 ，S 执行 以 下 操作 :计算 
M ={Ho(Y KCID1CMK)} ， 验 证 M，= M, 是 否 成 立 ， 若 
成 立 ， 则 计算 C= 五 (DI 区 IG 1KIIK,) ) 并 将 C; 发 送 给 U。 

接收 到 来 自 权 威 机 构 $ 的 消息 后 ，SC 执行 计算 : 
C = HOD YG IIKIIK,)， 验 证 C， = CC 是否 成 立 。 若 
成 立 计 算 : GC = 已 (CD|1 互 | 蕊 1C IIKIIK,)， 用 户 将 C; 发 送 给 
权威 机 构 5。 

S 接受 后 执行 以 下 操作 : 计算 
C, = 石 ,(ID]| 二 7G IIKIIK,) 验 证 Cy = C; 是 否 成 立 ， 若 成 
立 ， 则 验证 通过 , 则 开始 执行 加 密 算法 , 若 不 通过 则 返 
2.3 加 密 算法 

令 0={ath,ath,…,atin} 代表 一 个 所 有 可 能 的 属性 取 值 集 

合 , 5 二 {att,1,att,».…，att;,i} 是 一 个 属性 可 能 的 取 值 集合 ， 其 
ni 为 属性 5; 可 能 取 值 的 个 数 。 用 户 的 属性 列表 为 
L=[L,b, ...， 上 ], 其 中 如 =att,,te(l,2,...,ni) 。 
W=[W,W, .…，W,]， 其 中 Wc 5,。 


| 


访问 结构 为 


1) Setup (1 ) 


初始 化 算法 输入 安全 参数 入 ， 定 义 一 个 双 线 性 映射 
e GxG, 一 G+:，G 和 G; 是 阶 为 素数 p 的 乘法 循环 群 ，g!、g; 
分 别 是 是 群 G,、G: 生 成 元 ， 随 机 选取 yeZ ，，wj sZ ，， 并 计 


算 Y=e(g1,82) 和 4 = 。 


201808.00072V1 


chinaXiv 


录用 稿 


输出 : 公 钥 PK =(e,g1,82,7,A4;) 和 主 密 钥 


MSK =( yo) ， 其 中 ie[ln],j e[1,n] 。 同 时 生成 一 个 包含 二 


元 组 的 必 ，ID) 的 查询 列表 T， 初 始 化 时 列表 为 空 集 中 。 

25) Keygen( PK, MSK, ID,L) 

输入 : 系统 公 钥 PK 、 系 统 主 私 钥 MSK 以 及 用 户 的 属性 列 

表 志 =[ 厂 , 姜 , 厂 …， 五 ] 。 对 于 1<i<n， 授 权 中 心 Ch 选择 
reZ', ,计算 k=r， Ds=8,”*,，D,=g8;A4) 


输出 : 用 


户 私 钥 SK -人 Di[Paaaaa ,同时 将 二 元 


组 (k,1D) 存 入 查询 列表 T。 
3) Encrypt( PK,W,M ) 
输入 : 系统 公 钥 PK 、 明 文 M 、 相 关 的 访问 结构 
W=[W, 丙 ,.…，W,] 。 加 密 者 首先 将 使 用 多 值 与 门 表达 的 访问 
结构 按 转 换 规则 转换 成 对 应 的 访问 树 + 。 加 密 者 选择 ysZ ，， 
后 按 规 则 为 访问 树 的 每 一 个 孩子 节点 i 选择 s, eZ ,， 其 中 


N 


s=75, 。 


1=1 


计算 Co 至 gr ) Ci =M “e(g1 Sa » CG =A 


EY nv 
输出 密 文 CT = (& sn ep Me 


2.4 解密 算法 
Decrypt( PK,CT7,SK) 
输入 : 系统 公 钥 PK 、 隐 式 地 嵌入 访问 结构 W 的 密 文 CT 和 
包含 属性 列表 工 的 用 户 私 钥 SK 。 计 算 


GO 
e(Co" ， Do [I e(Cij D,)) 
1 


Mi 三 


输出 : 明文 M。 
2.5 追踪 算法 

Trace( PK,T, SK) 

追踪 算法 可 以 分 为 验证 和 查询 两 个 阶段 。 根 据 输入 的 用 户 
公 钥 PK 、 私 钥 SK 和 查询 列表 7 ， 输 出 用 户 万 或 符号 上 。 

1) 验证 阶段 ”在 验证 阶段 ， 根 据 如 下 几 个 公式 验证 私 钥 
SK 是 否 合法 ， 即 符合 标准 形式 下 的 密 钥 。 验 证 方法 如 下 : 
keZ’,, D,,D,, eG, 


e(g1 Do)=e(g1 Ba) #1 


e(gy D.)) =e(g1 gg; ") 
2) 查询 阶段 若 验证 私 钥 SK 是 有 效 的 用 户 私 钥 , 则 根据 查 
询 列 表 T 中 查询 k， 并 输出 与 k 对 应 的 用 户 JD 。 若 验证 无 效 ， 
则 输出 符号 上 。 
3 ”方案 分 析 
3.1 安全 性 分 析 


3.1.1 双 因 子 认 证 安全 分 析 
针对 表 1 中 攻击 者 A 的 C-00 能力, 方案 中 采用 


了 公 钥 技术 ， 


于 不 能 得 到 用 户 的 属性 私 铀 ， 即 使 通过 离线 穷 举 得 到 正确 用 
户 的 ID 和 PW, 同样 不 能 访问 加 密 文件 ,针对 表 1 中 C-01 能 力 ， 
即 用 户 匿 名 性 的 基本 要 求 :对 用 户 ID 进行 Hash 运算 进行 保护 ， 
攻击 者 不 能 获取 用 户 的 身份 标志 ID。 针 对 表 1 中 C-1 能 力 ， 即 
户 匿名 性 的 高 层次 要 求 : 采用 了 两 次 Diffie-Hellan 密 钥 交 
换 技术 和 公 钥 密码 技术 结合 方式 ， 攻 击 者 即使 能 够 得 到 智能 - 
中 的 参数 和 公 钥 ， 没 有 私 钥 仍 然 也 不 能 破解 其 他 人 的 不 可 追踪 
性 。 现 有 研究 已 经 从 理论 上 证 明 ， 要 实现 多 因子 安全 性 ， 采 用 
公 钥 技术 是 实现 用 户 匿 名 性 、 抗 离线 口令 猜测 攻击 、 前 向 安全 
性 的 必要 条 件 "。 针对 表 1 中 C-3 能 力 ， 即 用 户 前 向 安全 性 问 
题 : 引入 传统 的 Diffie-Hellman 密 钥 交换 技术 , 每 次 验证 都 使 
不 同 临时 值 g “和 g "， 不 能 根据 过 期 的 会 话 密 钥 破 解 下 一 次 
的 密 钥 。 
3.1.2 抵抗 选择 明文 攻击 

定理 1 如 果 一 个 概率 多 项 式 时 间 内 的 攻击 者 A 没有 不 可 
忽略 的 优势 赢得 选择 性 明文 攻击 下 的 安全 游戏 ， 则 该 方案 是 安 
全 的 。 

证 明 若 攻击 者 A 能 以 不 可 忽略 的 优势 /2 来 攻破 本 文 
方案 ， 那 么 存在 一 个 挑战 者 B 能 以 相同 的 优势 a/2 来 打破 
DBDH 假设 。 具 体 过 程 描述 如 下 : 


Se 


六 


ne 


站 


7IT 


其 中 Z 的 取 值 与 


挑战 者 给 定 挑战 元 组 [8,8",8",8",Z]， 


e(g,8)” 在 Gr 中 具有 相同 的 概率 分 布 。 


初始 化 阶段 : A 提供 给 B 两 个 挑战 访问 结构 


WW =[Wos Ws， Wh] ,WW =[WisW2,…,W, | ,B 抛 币 得 到 随 


机 值 be{0,1} 。B 令 Y=e(g",g*)=e(g,8)”， 即 有 y=ab。 对 


于 1<i<n,1< j<ni， 随 机 选取 a ;eZ ,， 当 athjeW; 时 ， 算 
法 B 令 4)=8 7 ， 当 ali jgW,; 时 , 令 驴 ;=g."”。 挑战 者 B 
把 系统 公 钥 PK =(e,g81,82,Y, 丸 ?发送 给 攻击 者 A, 挑战 者 B 自 
己 保留 主 密 钥 MK。 

第 一 阶段 : 攻击 者 A 提供 一 个 属性 列表 
L=[L,D,L,…， 元] ， 属 性 列表 工 不 满足 访问 结构 Wo 和 访问 
结构 Wi 是 挑战 访问 结构 的 要 求 ， 所 以 一 定 存在 一 个 je[1,n]， 
使 得 闫 W,; 。 挑 战 者 B 选择 reZ', .计算 k=r ,Do= 8 ， 


=gsA1'， 挑战 者 B 将 私 铜 SE =(k,DyD, yoann 发 


送 给 攻击 者 A。 
第 二 阶段 : 攻击 者 A 提交 2 个 长 度 相 等 的 消息 M。 和 M, 给 


挑战 者 B, 挑战 者 B 随机 % sZ ,其 中 s=2s, ,计算 G= gi， 


如 果 i=j, 则 C=M, :eg», 8 ， Ci =A 7 , 
则 C= M, ‘eg 8 ， Ci = 六 o 
第 三 阶段 ， 重复 第 一 阶段 和 第 二 阶段 的 过 程 ， 继 续 私 钥 询 


如 果 ; 关 7) ， 
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间 。 
猜测 阶段 ， 如 果 T 了 二 e(g,g)*”， 则 表明 攻击 者 A 就 能 准确 


输出 对 b 的 猜测 b*， 否则 ，T 三 e(g,g) ， 攻 击 者 A 只 能 做 


个 随机 的 猜测 。 如 果 b 二 b ，B 输出 二 1， 否则， 输出 =0。 


因此 ， 挑 战 者 B 能 够 以 =/2 的 优势 解决 DBDH 问题 ， 即 
在 DBDH 假设 下 ， 证 明 提出 的 方案 是 安全 的 。 
3.1.3 抵抗 用 户 窜 谍 攻击 

本 方案 采用 双 因 子 身份 验证 机 制 , 每 个 用 户 有 其 唯一 JD 和 


登录 密码 PW 。 用 户 进行 数据 加 密 上 传 和 获取 解密 文件 前 先进 
户 登 录 ， 根 据 验 证 体制 对 用 户 身份 进行 第 一 道 的 判断 ， 提 
高 了 攻击 者 破解 合法 用 户 身份 信息 伪装 成 合法 授权 用 户 的 难 
度 。 通 过 身份 验证 后 ， 用 户 分 别 将 自 有 的 属性 私 钥 分 量 分 
别 代入 进行 解密 计算 ， 验 证 用 户 私 钥 是 否 满足 访问 结构 。 该 方 
案 中 用 户 只 能 知道 自 有 访问 秘密 文件 的 条 件 ， 但 不 能 
获知 自己 能 够 满足 访问 结构 的 具体 属性 表达 式 ， 这 就 有 效 防止 
了 多 个 非法 用 户 或 腐化 用 户 窜 谋 ,结合 属性 私 钥 获 取 解 密 密 钥 ， 
获取 共享 文件 ， 或 者 低 授权 用 户 进行 越权 盗 取 高 级 加 密 文件 的 
风险 。 
3.1.4 白 盒 可 追踪 性 
数据 拥有 者 的 数据 在 
证 , 认证 成 功 后 使 用 访问 策略 W 加 密 ， 只 
解密 服务 器 的 帮助 下 解密 出 明文 。 
用 户 解密 之 前 也 需要 进行 身份 认证 ， 并 且 用 户 私 钥 生 成 时 
中 加 入 因子 k， 同 时 ， 将 二 元 组 (k,1D) 存 入 查询 列表 T。 为 了 
能 解密 得 到 密 文 ， 攻 击 者 必须 具备 系统 公 钥 PK 、 密 文 CT 和 
私 钥 SK ， 并 且 属 性 集合 必须 满足 访问 控制 策略 。 数 据 提 供 者 


行 用 


CD 


己 赴 从 


上 传 至 云 服 务 器 之 前 首先 进行 身份 认 
授权 的 用 户 才 能 在 


欧 航 裔 ， 等 : 一 个 可 追踪 密 钥 的 策略 隐藏 属性 基 加 密 方案 
表 2 方案 功能 特征 比较 
方案 可 追踪 怕 策略 隐藏 双 因 子 认证 
文献 [和 无 部 分 隐藏 无 
文献 [5] 可 追踪 部 分 隐藏 无 
文献 [6] 无 完全 隐藏 无 
文献 [7] 无 完全 隐藏 无 
文献 [8] 无 完全 隐藏 有 
文献 [9] 可 追踪 无 无 
文献 [10] 可 追踪 无 无 
文献 [11] 可 追踪 完全 隐藏 无 
本 文 方案 可 追踪 完全 隐藏 有 
表 3 方案 的 相关 参数 大 小 
方案 PK MK SK CT 
文献 [1] N+3)|G| +lGl GZ orDlcl CnrDlcl + 
文献 D] N+DIG| +IG N|2e|+lGl CnrDlGl nrDlcl +IG 
本 文 方案 (N+DIG| +lG| NI2|+IGl orDlal orDlGl +lG 
表 4 时 间 开 销 

方案 加 密 时 间 解密 时 间 

文献 [11] Cr+l)G+Cr (2n+1) Cs +3 Cr 

文献 [7] (2n+1)G +G; (2n+1) C, +3 Gy 

本 文 方案 n+l)G+G n+1) C, +3 GG 


10] 只 实现 了 密 钥 可 追踪 。 文 献 [5] 虽 然 同时 实 
略 隐藏 ， 但 只 能 对 策略 部 分 
踪 和 策略 完全 隐藏 ， 但 是 该 方案 上 


从 表 2 可 以 看 出 ， 文 献 [4 一 8] 只 实现 了 策略 隐藏 ， 文 献 [9， 


可 以 根据 用 户 的 私 钥 SK 、 系 统 公 钥 PK ， 首 先 验证 私 钥 SK 是 

否 标 准 定义 的 ， 若 验证 成 功 ， 根 据 因子 k 查询 列表 T 后 输出 与 

SK 对 应 的 用 户 身份 ID， 否 则 输出 符号 1。 

3.2 效率 分 析 

遇 性 基 加 密 
文 


制 的 效率 问题 主要 考虑 通信 开销 和 计算 开 
销 。 一 方 男 度 决 定 了 通信 开销 ， 降 低 密 文 长 度 可 以 减少 
通信 开销 ; 外 ABE 一 对 多 的 通信 方式 ， 使 得 系统 中 解 
密 相 对 加 密 是 一 个 高 频 行 为 ， 且 双 线 性 对 的 计算 效率 要 低 于 其 
他 运算 ， 减 少 解密 过 程 中 双 线 性 对 的 计算 次 数 ， 可 以 有 效 降 低 
计算 开销 。 因 此 本 文 现 将 本 文 方案 与 所 列 文献 中 的 方案 分 别 从 
加 /解密 时 间 开销 、 功 能 特征 和 密 文 长 度 、 私 钥 长 度 等 相关 参数 
方面 进行 比较 。 其 中 系统 中 属性 个 数 为 n，ni 表示 第 i 个 属性 


四 bE 3 


的 取 值 个 数 ，N = mi 表示 属性 空间 中 所 有 属性 的 取 值 总 个 数 ， 


a 


、|G| 和 |Zi | 表示 G 、Gr 和 2 中 元 素 的 单位 长 度 , G 、G 


分 别 为 群 G、Gr 上 计算 所 用 的 时 间 ，C; 表示 双 线 性 对 所 需要 
的 时 间 。 具 体 比 较 结 果 如 表 2 一 4 所 示 。 


案 可 以 同时 实现 可 追踪 和 策 
制 ， 可 以 有 效 的 


全 


各 隐藏 ， 


使 用 双 基 


如 表 3 所 示 ， 


氏 抗 用 户 合谋 攻击 。 
本 文 方案 虽然 与 文献 [7] 


现 了 可 追踪 和 策 
隐藏 。 文 献 [11] 也 同时 实现 了 可 追 


的 公 钥 长 度 有 所 增加 ， 本 文 方 
子 身份 验证 机 


密 钥 长 度 一 样 , 但 是 比 文 
一 样 , 比 文献 [11] 的 短 ， 加 
都 短 ， 在 数 扩 


密 时 间 均 比 文献 [11] 的 更 短 ， 相 比 文献 [7] 来 说 
时 间 均 更 短 ， 因 为 双 线性 


根据 表 4 所 


效率 得 以 提高 。 


4 ”结束 语 


感 信 息 易 被 泄露 、 
假设 下 该 方案 能 够 抵抗 选择 明文 攻击 ， 


居 访 问 人 数 比 数 
系 着 授权 中 心 的 效率 ， 而 密 文 长 度 则 关系 着 通信 代价 。 


献 [11] 的 短 , 其 用 


居 加 密 者 多 的 1 


的 系统 公 钥 长 度 和 主 
户 私 钥 长 度 与 文献 [7] 
密 所 得 到 的 密 文 长 度 比 文献 [11，7] 的 
青 况 下 ， 私 钥 长 度 关 


示 ， 本 方案 的 加 密 


运算 代价 减少 了 近 一 3 


时 间 文 献 [11] 一 样 ， 但 是 解 


本 文 提出 


了 一 个 可 追踪 密 钥 且 隐 藏 访问 结构 的 密 文 策略 属 


性 基 加 密 方案 。 有 有 


因子 身份 认证 机 制 实现 对 


E 不 影响 加 /解密 效率 的 前 提 1 


[ 密 时 间 和 解密 
EE， 所 以 方案 的 


下 , 方案 中 结合 双 


用 


户 身 份 上 
文件 易 被 窃取 的 风险 ， 并 且 证 明了 在 


的 匿名 认证 ， 解 决 ] 


户 敏 


l 


实 


网 了 密 文 的 不 可 


录用 稿 


性 。 在 保证 数据 安全 性 的 同时 , 通过 
大 大 降低 了 通信 开销 和 计算 开销 。 


降低 双 线 性 对 运算 的 数目 ， 
但 本 方案 的 不 足 之 处 是 只 


CC 


| 


和 
一 步 工 作 是 实现 能 够 进行 黑 盒 追踪 的 加 


进行 白 盒 追 踪 ， 因 此 下 


密 方案 。 
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